網域控制站的群組原則安全性設定

在群組原則管理中管理網域控制站的安全性時, 有一組特定的 GPO是專門用來設定 DC的安全性, 這些 GPO通常會套用在 Domain Controllers OU上, 以下列出一些與 DC安全性高度相關的 GPO設定項目:

1. 帳戶原則: 帳戶鎖定原則、密碼原則、Kerberos原則

2. 本機原則: 稽核原則、管理使用者權限、安全選項

3. 事件記錄檔: 管理本機、系統、應用程式等安全性記錄檔w-studio.idv.tw

4. 受限群組: 可以為受限群組定義兩個屬性, 在此處新增的每個群組, 可以定義成員和成員屬性, 對於設定為受限的群組, 不能使用其他工具來變更成員資格

5. 系統服務:

。停用不必要的服務(如 Telnet、FTP、SMBv1)

。設定 LDAP簽章與通道加密(LDAP Signing / Channel Binding)

6. 進階安全性的防火牆:

。設定防火牆規則來限制哪些來源 IP可以存取 DC

。使用 IPsec加密內部伺服器間的通訊

7. 公開金鑰原則: 加密檔案系統、資料保護、受信任的根憑證授權單位、自動憑證、受信任的發行者等

8. 進階稽核: 帳戶登入、帳戶管理、物件存取、原則變更等